【導(dǎo)讀】更多協(xié)同辦公OA系統(tǒng)資料請(qǐng)?jiān)L問(wèn)：。協(xié)同辦公系統(tǒng)安全解決方案

　　

【正文】 限制特定地址訪問(wèn)特定服務(wù)的更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 功能，例如根據(jù)網(wǎng)絡(luò)安全策略，可能只能允許某個(gè) IP 地址使用 TELNET 服務(wù)，另一個(gè)子網(wǎng)用戶可以使用 FTP 服務(wù)。 最小授權(quán) 原則雖然只是一個(gè)思想原則，但是通過(guò)具體實(shí)現(xiàn)可以以最小的代價(jià)迅速地大大加強(qiáng)網(wǎng)絡(luò)安全水平。所以將其 獨(dú)立列為網(wǎng)絡(luò)安全的一個(gè)重要元素。 依據(jù) CA的授權(quán)機(jī)制 操作系統(tǒng)的授權(quán)機(jī)制 系統(tǒng)的授權(quán)保證 4 網(wǎng)絡(luò)安全的實(shí)現(xiàn) 沒(méi)有絕對(duì)的網(wǎng)絡(luò)安全。不同屬性的網(wǎng)絡(luò)具有不同的安全需求。國(guó)家安全、軍事等網(wǎng)絡(luò)對(duì)于前面所述的三種威脅都適用，需要調(diào)動(dòng)整個(gè)國(guó)家的技術(shù)力量來(lái)研究專門(mén)的網(wǎng)絡(luò)安全技術(shù)。對(duì)于 ISP 網(wǎng)絡(luò)和企業(yè)網(wǎng)，對(duì)于上面論述的網(wǎng)絡(luò)安全幾個(gè)重要元素，受投資規(guī)模的限制，不可能全部最高強(qiáng)度的實(shí)施，但是正確的做法是分析網(wǎng)絡(luò)中最為脆弱的部分而著重解決，將有限的資金用在最為關(guān)鍵的地方。這有賴于網(wǎng)絡(luò)安全策略分析的充分投入。本文認(rèn)為實(shí)現(xiàn)整體網(wǎng)絡(luò)安 全包括三個(gè)要素：完備適當(dāng)?shù)木W(wǎng)絡(luò)安全策略、高水平的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍、嚴(yán)格的管理落實(shí)。 完備適當(dāng)?shù)木W(wǎng)絡(luò)安全策略 對(duì)于網(wǎng)絡(luò)的建設(shè)者和運(yùn)行者來(lái)說(shuō)，實(shí)現(xiàn)安全的第一要?jiǎng)?wù)是明確本網(wǎng)的業(yè)務(wù)定位、提供的服務(wù)類型和提供服務(wù)的對(duì)象。這些數(shù)據(jù)直接影響到安全策略的制定和實(shí)施過(guò)程。對(duì)于較大規(guī)模的企業(yè)網(wǎng)和 ISP 網(wǎng)絡(luò)，運(yùn)行者應(yīng)該有自己的網(wǎng)絡(luò)安全技術(shù)專家，它們直接參與工程的設(shè)計(jì)、談判、運(yùn)行 ,擁有對(duì)整體網(wǎng)絡(luò)拓?fù)浜头?wù)非常透徹的了解。這樣可以保證網(wǎng)絡(luò)安全策略自始至終的連續(xù)性。 網(wǎng)絡(luò)安全的技術(shù)研究國(guó)內(nèi)起步較晚，雖然目前許多網(wǎng)絡(luò)專家開(kāi)始注意并研究相 關(guān)的技術(shù)，但是總體來(lái)說(shuō)網(wǎng)絡(luò)安全技術(shù)的專門(mén)人才還比較缺乏。因此多數(shù)網(wǎng)絡(luò)的建設(shè)者和運(yùn)行者并不擁有相應(yīng)的技術(shù)力量。這時(shí)，購(gòu)買(mǎi)市場(chǎng)上的網(wǎng)絡(luò)安全服務(wù)是比較明智的策略。例如，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)設(shè)計(jì)安全評(píng)估、網(wǎng)絡(luò)安全維護(hù)等服務(wù)。其中第一項(xiàng)在發(fā)達(dá)國(guó)家已經(jīng)非常普遍。許多大的網(wǎng)絡(luò)公司也雇傭?qū)ｉT(mén)的安全評(píng)估小組對(duì)其網(wǎng)絡(luò)進(jìn)行模擬攻擊，以求避免類似 不識(shí)廬山真面目，只緣身在更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 此山中 的效果。多方位、多角度地考察網(wǎng)絡(luò)安全漏洞和弱點(diǎn)是提高網(wǎng)絡(luò)安全水平的重要保證。 l、 機(jī)房設(shè)備和數(shù)據(jù)的物理安全及其保障 這一項(xiàng)與傳統(tǒng)電信網(wǎng)類似。 網(wǎng)絡(luò)安 全管理職能的分割與責(zé)任分擔(dān) 責(zé)任明確化、具體化永遠(yuǎn)是有力的實(shí)施手段。如果運(yùn)維人力資源允許，將網(wǎng)絡(luò)的安全維護(hù)、系統(tǒng)和數(shù)據(jù)備份、軟件配置和升級(jí)等責(zé)任具體到網(wǎng)管人員，實(shí)行包機(jī)制度和機(jī)歷本制度等，保證責(zé)任人之間的備份和替換關(guān)系。一般來(lái)說(shuō)，不可能網(wǎng)管安全責(zé)任人全部具有非常高的安全技術(shù)水平，同時(shí)出于人力資源的考慮，設(shè)立網(wǎng)絡(luò)安全技術(shù)支援小組，將技術(shù)的跟蹤研究與措施的具體實(shí)施分割開(kāi)來(lái)是一種較為經(jīng)濟(jì)的考慮。 不同于電信網(wǎng)應(yīng)用軟件管理的特點(diǎn)， Inter 網(wǎng)的軟件升級(jí)是非常頻繁和細(xì)碎的事情。軟件升級(jí)的目的除了提供新得功能以外 ，就是彌補(bǔ)過(guò)去的安全漏洞。所以往往需要網(wǎng)管人員經(jīng)常及時(shí)地更新和升級(jí)軟件。這應(yīng)該列為網(wǎng)管人員的重要責(zé)任之一。 用戶的權(quán)利分級(jí)和責(zé)任 各種用戶應(yīng)該享受的服務(wù)種類；用戶在享受服務(wù)的同時(shí)，應(yīng)該承當(dāng)?shù)牧x務(wù)范圍；對(duì)發(fā)現(xiàn)有惡意使用網(wǎng)絡(luò)、利用網(wǎng)絡(luò)騷擾攻擊其它網(wǎng)絡(luò)或用戶的使用者應(yīng)該采取的處理辦法。 攻擊和入侵應(yīng)急處理流程和災(zāi)難恢復(fù)計(jì)劃 發(fā)現(xiàn)黑客入侵后的處理流程，該問(wèn)題與安全運(yùn)行級(jí)別和安全故障等級(jí)的劃分直接相關(guān)。流程應(yīng)該保證發(fā)現(xiàn)入侵后不使入侵造成的損失擴(kuò)大，不會(huì)造成運(yùn)行的混亂，及時(shí)得到安全技術(shù)人員的支持，某種等級(jí)的安全 故障必須向上級(jí)主管部門(mén)匯報(bào)等等。 口令安全管理 包括口令的選取、保存、更改周期、定期檢查、保密等內(nèi)容。 網(wǎng)絡(luò)安全策略就是企業(yè)安全工作的法律，任何用戶和管理員都必須遵守。發(fā)現(xiàn)問(wèn)題要立即糾正。安全工作要作到有法可依、有法必依、違法必糾。 高水平的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍 安全技術(shù)力量的形成首先必須是專業(yè)化。抽調(diào)專門(mén)的技術(shù)人員專門(mén)從事企業(yè)的網(wǎng)絡(luò)安全建設(shè)和管理?？梢韵葟妮^小的核心開(kāi)始，通過(guò)各種渠道呼吁、宣傳、教育，提高各級(jí)領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全問(wèn)題的重視程度，向大家演示黑客攻擊的現(xiàn)實(shí)威更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 脅是一種有效的辦法。使領(lǐng)導(dǎo)層、管理層和技術(shù) 人員大家形成一個(gè)共識(shí)：網(wǎng)絡(luò)安全工作非常重要，投資是必要的。 其次，逐步加強(qiáng)安全工作核心小組的實(shí)力。根據(jù)企業(yè)使用的技術(shù)種類和以后的發(fā)展方向，形成一定的內(nèi)部研究分工，比如 UNIX、 NT、路由、數(shù)據(jù)庫(kù)和其它應(yīng)用、國(guó)際相關(guān)討論組、以及上述的各種網(wǎng)絡(luò)安全元素等。在技術(shù)上保證不落后國(guó)際領(lǐng)先水平很遠(yuǎn)，以電話、電子郵件或者 BBS 的方式為全網(wǎng)提供普遍的技術(shù)咨詢和技術(shù)支持，對(duì)本網(wǎng)和客戶技術(shù)人員提供培訓(xùn)服務(wù)，在建設(shè)和維護(hù)上為領(lǐng)導(dǎo)決策提供網(wǎng)絡(luò)安全方面的參考。 再次，繼續(xù)充實(shí)安全技術(shù)隊(duì)伍，形成自己的安全技術(shù)特長(zhǎng)，承擔(dān)國(guó)家重大網(wǎng)絡(luò)安全 研究應(yīng)用任務(wù)。 建立專業(yè)的 CA 中心 運(yùn)作一個(gè) CA 系統(tǒng)的關(guān)鍵 由于網(wǎng)上交易是實(shí)時(shí)在線的，對(duì)于建立并運(yùn)營(yíng) CA 系統(tǒng)的企業(yè)，必須滿足用戶對(duì)高可靠、高安全服務(wù)的要求。從用戶的角度看，一個(gè)成功的 CA 意味著較容易地獲得數(shù)字證書(shū)，能夠在訪問(wèn)控制、信息加密、安全交易等商業(yè)應(yīng)用中方便地使用這些數(shù)字證書(shū)。從企業(yè)的角度來(lái)看，運(yùn)營(yíng) PKI 意味著為用戶提供一個(gè)可信的在線服務(wù)。 我們可以建立我們專業(yè)的 CA 中心 管理、管理、管理 即使是一個(gè)完美的安全策略，如果得不到很好的實(shí)施，也是空紙一張。一般來(lái)說(shuō)，安全與方便通常是互相矛盾的。 據(jù)反映，有些網(wǎng)絡(luò)安全專家雖然知道自己網(wǎng)絡(luò)中存在的安全漏洞以及可能招致的攻擊，但是出于管理協(xié)調(diào)方面的問(wèn)題，卻無(wú)法去更正。因?yàn)槭谴蠹乙黄鹪诠芾硎褂靡粋€(gè)網(wǎng)絡(luò)，包括用戶數(shù)據(jù)更新管理、路由政策管理、數(shù)據(jù)流量統(tǒng)計(jì)管理、新服務(wù)開(kāi)發(fā)管理、域名和地址管理等等。網(wǎng)絡(luò)安全管理只是其中的一部分，并且在服務(wù)層次上，處于對(duì)其它管理提供服務(wù)的地位上。這樣，在與其它管理服務(wù)存在沖突的時(shí)候，網(wǎng)絡(luò)安全往往需要作出讓步。 流于形式是安全管理失敗的主要原因。筆者作為安全管理員期間，在多個(gè)公共服務(wù)器用戶的目錄中都曾經(jīng)發(fā)現(xiàn)管理單位發(fā)給用戶的警告文件， 內(nèi)容大致是不要使用簡(jiǎn)單單詞作為自己的口令，尤其不要使用用戶名做口令以及其它注意事項(xiàng)。但是，這樣的警告是否起作用了呢？事實(shí)上，相當(dāng)部分用戶從來(lái)沒(méi)有登錄過(guò)，當(dāng)然也就根本沒(méi)有看到過(guò)該警告。在相當(dāng)部分公共服務(wù)主機(jī)上，使用脆弱口令的用戶更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 往往超過(guò) 10%，有些站點(diǎn)甚至超過(guò) 30%。這通常關(guān)系到各地?cái)?shù)據(jù)業(yè)務(wù)部門(mén)為用戶初始化口令時(shí)的安全政策，有的初始化成了用戶名，有的初始化成了統(tǒng)一口令（如123456），同時(shí)沒(méi)有保證用戶及時(shí)修改的措施。于是，上面的警告和口令安全策略也就流于形式，根本沒(méi)有起到加強(qiáng)網(wǎng)絡(luò)安全的作用。 管理落實(shí)是實(shí)現(xiàn) 網(wǎng)絡(luò)安全的關(guān)鍵。 5 我們公司的安全策略 客戶可能面臨的網(wǎng)絡(luò)安全隱患 客戶在使用我們的軟件的時(shí)候，可能會(huì)遇到一些安全隱患，譬如： 客戶的密碼可能丟失，密碼被別人修改，造成客戶不能進(jìn)入我們的系統(tǒng)，并且客戶的個(gè)人資料可能被別人竊取，這樣就給單位和個(gè)人造成了很大的不不必要損失。 公司對(duì)客戶安全使用的控制級(jí)別 我們公司對(duì)客戶有一定的控制，以驗(yàn)證客戶的權(quán)限。客戶的上傳和下載要有驗(yàn)證的權(quán)限，這個(gè)權(quán)限是只有我們的 ID 用戶才有。我們要在我們公司的網(wǎng)站上核實(shí)客戶的 ID 權(quán)限。 我們公司目前可以為客戶解決的安全問(wèn)題 （ 1） 我們對(duì)每一個(gè)客 戶都有用戶 ID 的驗(yàn)證，只有通過(guò)我們驗(yàn)證的用戶才可以登陸我們的系統(tǒng)。沒(méi)有通過(guò)驗(yàn)證的人員是無(wú)法進(jìn)入我們的系統(tǒng)的。 （ 2） 我們公司在 CA 認(rèn)證方面已經(jīng)達(dá)到了 128 位加密。 （ 3） 在公司的內(nèi)部我們采用了 IP 和用戶名之間的綁定。 （ 4） 在公司的外網(wǎng)，我們采用了一定區(qū)域內(nèi)的 IP 和用戶名之間的綁定，我們還對(duì)加密狗進(jìn)行加密，這樣就更加保障了我們公司的網(wǎng)絡(luò)安全。 （ 5） 我們公司在對(duì)付一些人員和網(wǎng)絡(luò)黑客對(duì)我們公司員工密碼的攻擊和猜測(cè)上作到了反攻擊和反猜測(cè)，我們還把輸入密碼錯(cuò)誤后的滯留時(shí)間控制為 1秒鐘，這樣一來(lái)不管對(duì)方的計(jì)算機(jī)再快，也無(wú)發(fā)在短時(shí)間內(nèi)攻擊我 們的軟件。 （ 6） 如果您認(rèn)為這樣還不夠安全我們還可以給公司的領(lǐng)導(dǎo)配一個(gè)個(gè)人使用的加密狗。用戶必須要有我們公司提供的與您的用戶名和密碼匹配的加密狗更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 才可以遠(yuǎn)程登陸。這樣實(shí)現(xiàn)后，就算用戶的密碼被盜，但沒(méi)有加密狗，也沒(méi)有辦法登陸到服務(wù)器上。如果加密狗也同時(shí)被盜，只要用戶及時(shí)的把加密狗掛失，我們就會(huì)取消該加密狗的所有權(quán)限，該用戶的登陸名和密碼也會(huì)及時(shí)作廢。這樣就沒(méi)有人可以登陸您的帳號(hào)，使您個(gè)人和公司的信息資料都得到了保障。